Hva er egentlig denne compliance-greia? Her begrunner vi hvorfor du som bedriftseier bør vite hva compliance-begrepet innebærer, og hvordan du kan bruke dette verktøyet til å skape verdier for din SMB-bedrift.
Historien om compliance
På norsk defineres ordet compliance som «etterlevelse av», «i samsvar med» eller «i overenstemmelse med» samfunnets lover og regler.
Det hele ble aktuelt i kjølvannet av finansskandalene i USA på 2000-tallet, med energiselskapet Enron og revisjonsfirmaet Arthur Andersen i spissen. En rekke avsløringer rapporterte om uvanlige og systematiske regnskapsprosedyrer på grensen til bedrageri over svært mange år. Dette kom som et sjokk på finansverden og fikk så store samfunnsmessige konsekvenser at amerikanske myndigheter utarbeidet en rekke lovpålagte krav for finansforetak, blant annet for å redusere risiko for brudd på utvalgte lover og regler, eksempelvis lovbestemmelser om antikorrupsjon.
I dag er dette kjent som nettopp compliance, og stadig flere virksomheter i ulike bransjer bruker nå dette systemet for å sikre at man tar samfunnsansvar, følger forretningsetikk (skikk og bruk), lover og forskrifter. Målet er å unngå sanksjoner, forebygge tap av aksjonærverdier, samt tap av omdømme- og tillit i markedet.
Ved å sette ting i system får du som bedriftseier kontroll både over interne arbeidsprosesser og mulighet til å identifisere potensielle risikofaktorer for din bedrift.
Compliance gir deg rett og slett «orden i sysakene» gjennom:
- Etterlevelse av juridiske lover, regler, standarder og formaliteter (f.eks. GDPR og ISO)
- Etterrettelighet i forhold til dokumentasjon (internkontroll/revisjon, ettersyn o.l.)
- Risikohåndtering og etablering av rutiner (Hva skjer hvis …?)
- Dokumenterte interne retningslinjer, holdninger og kultur (slik gjør vi det her!)
Hvorfor bruke tid på compliance?
«Så, hvorfor skal jeg som eier eller leder bruke tid på dette i en ellers travel arbeidshverdag? Vi har rutiner gode nok vi», tenker du kanskje. Men hva hvis og om det smeller – og noe uforutsett skulle skje?
Er du sikker på at leverandøren du benytter følger regelverket i alle ledd? Hva med det generelle avtaleverket på huset? Har dere gode nok dokumenterte rutiner på alle arbeidsprosesser i ditt firma? La oss forklare litt nærmere hvorfor dette er en prosess du som bedriftseier bør igangsette snarest.
En åpenbar årsak er at det er styrets ansvar å ha kontroll. Aksjeloven § 6-13 sier følgende:
«Styret skal holde seg orientert om selskapets økonomiske stilling og plikter å påse at dets virksomhet, regnskap og formuesforvaltning er gjenstand for betryggende kontroll»
Du kan også lede en virksomhet som ved forskrift plikter å ha særskilt kontrollsystem. Eksempler på dette er finansforetak, regnskapsførere og inkassoselskaper.
Videre vil godt et kontrollsystem sikre deg en dynamisk virksomhetsstyring. Altså en slags «due diligence» av egen bedrift. Dette vil sikre verdien på selskapet ditt, noe som er sentralt for både egne aksjonærer og eksterne investorer, herunder dine bankforbindelser.
Det udefinerbare ved compliance
I tillegg til det åpenbare, som å definere gode arbeidsrutiner og kartlegging av risiko i alle ledd, er det noe annet og mer udefinerbart som compliance-arbeidet kan bidra med. Nemlig et tankesett og interne holdninger du som bedriftsleder gjerne ønsker at selskapet ditt skal «gjennomsyres» av.
La oss illustrere det hele ved å stille noen enkle spørsmål:
– Har du noen gang kjørt bil over fartsgrensen?
Det er en kjensgjerning at du neppe er alene dersom du svarer ja på dette spørsmålet.
La oss så stille neste spørsmål:
– Nasker du i butikken når du er på en handlerunde på Kiwi?
De fleste svarer kontant nei til dette.
Så hvorfor er det slik da, at svært mange heller ville brutt fartsgrensen enn å naske på Kiwi, selv om strafferammen og oppdagelsesrisikoen for sistnevnte er lavere? Svaret er at det er dine egne holdninger og holdningene til de rundt deg som styrer dette.
Dette eksemplet illustrerer den underliggende faktoren knyttet til compliance – det vi kaller etikk, skikk og bruk, eller holdninger og kultur, om man vil. Noe gjør man bare ikke! Dette kan en compliance-prosess bidra til å synliggjøre, gjennom å både avsløre og avklare bedriftens forretningskultur, internt og eksternt.
Hvordan etablere et compliance-system? (Hvor starter man?)
En arbeidsprosess knyttet til å gjøre selskapet «compliant» skal forankres i styret og i toppledelsen. Det er de som har det overordnede ansvaret for å redusere risiko og ha kontroll med virksomheten. En prosjekteier må defineres, og som oftest er dette daglig leder.
Arbeidsprosessen kan kort beskrives i fem steg:
- Risikoanalyse i alle ledd i virksomhetens arbeidsprosesser
- Få oversikt over de lover og regler som gjelder for din bedrift
- Rutinebeskrivelser av alle arbeidsprosesser internt og samhandlinger eksternt
- Internkontrollsystem og dokumentasjon som overvåker og måler etterlevelsen
- … og så jevnlig gjenta punkt 1 til 4 over
Hvordan gjøre en risikogjennomgang og -vurdering?
Det første som bør gjøres er å synliggjøre og gjennomgå alle arbeidsprosesser i virksomheten. Som et eksempel kan vi ta utbetaling av innkomne fakturaer i virksomheten.
Uten nærmere rutiner kan dette behandles ved at fakturaene bokføres i regnskapssystemet og betales ved forfall, av regnskapssjefen, fra selskapets konto. Avhengig av størrelsen på virksomheten, og hva slags virksomhet som drives, er det i denne prosessen flere risikoer:
- At innkomne fakturaer ikke vedrører driften
- At regnskapssjefen registrerer feilaktige (eller egne) fakturaer
- At utbetaling av fakturaen faktisk ikke skjer til fakturamottaker
Typiske risikoer som bør vurderes:
- Foreligger det en finansiell risiko (blir regnskapet feil, blir kostnader «skjult»?)
- Menneskelig risiko (kan det gjøres en tastefeil?)
- Korrupsjon (har du utro ansatte, eller mottar du fakturaer som egentlig er betaling for muligheter/kontrakter?)
- Bedrageri (gjelder ikke fakturaen tjenester som er kjøpt eller bestilt? F.eks. postkatalogsvindel)
- Etisk risiko (kan henge sammen med siste kulepunkt; er det risiko for at leverandøren har uønsket adferd? Eks. momsbedrageri eller at leverandøren bruker barnearbeid)
- Kommersiell risiko (mangler fakturaen det nødvendige for at selskapet skal kunne innta denne i sitt momsregnskap? Ønsker selskapet å pådra seg disse kostnadene?)
- Omdømmerisiko (eks. på kontrollspørsmål: Ville det blitt en katastrofe om noe rundt denne fakturaen kom på forsiden av avisen?)
Hva brukes risikoanalysen til?
- Utforme retningslinjer for å redusere risiko i alle ledd
- Utforme retningslinjer for å sikre etterlevelse av lovverket og bransjestandard
- Sikre at selskapet etterlever retningslinjene/regelverket
- Forankres av styret for å sikre rett risikoprofil
Hvordan gjøre en sannsynlighets- og sårbarhetsanalyse?
Potensiell risiko som oppdages i selskapets rutiner bør deretter vektes etter hvor sannsynlig det er at nettopp denne typen risiko vil inntreffe, samt konsekvensene dette vil medføre.
Har man både en høy sannsynlighet og en høy konsekvens, må det tas et bevisst valg om selskapet ønsker å ta denne risikoen, som i motsatt fall kan reduseres ved rutiner og/eller retningslinjer.
La oss ta eksempelet med innkomne fakturaer igjen: Virksomheten kan her ha en rutine hvor innkomne fakturaer må godkjennes av den avdelingen som har bestilt eller den avdelingen kostnaden gjelder for. Deretter skal alle fakturaer over kroner XXXX i tillegg godkjennes av leder for avdelingen eller daglig leder. Utbetaling av fakturaen kan da først skje ved at to personer må godkjenne utbetalinger fra selskapets konto. Med dette enkle grepet har man redusert risikoen for at innkomne «oppdiktede» fakturaer blir betalt og at regnskapssjefen begår økonomisk utroskap.
Hva nå? Hvordan sikrer du etterlevelse av compliance?
Det er mye snakk i compliance-verdenen om hvem som skal ha eierskap til dette arbeidet. Vår anbefaling er at det bør være todelt:
- Styret må ha et eierskap til risikobildet i virksomheten. Det betyr at de bør evaluere om systemer og rutiner er gode nok og om dette blir etterlevd i selskapet. Styret skal ha oversikt nok til å kunne ta de større og langsiktige kommersielle beslutningene.
- Videre må retningslinjer og etisk ansvar eies av organisasjonen som sådan. Det nytter ikke å ansette en egen person som skal minne regnskapssjefen på at han ikke må betale fakturaene «alene». Dette må være en del av vedkommende sin naturlige arbeidsprosess og rutiner.
Likesom eksempelet om nasking over, bør man også ha en bevisst holdning til «skikk og bruk» og kulturen i firmaet, slik at ikke enkelte ting får utvikle seg «som greit» fordi «alle andre gjør det».
Konklusjon: Hvorfor compliance er viktig for deg og din bedrift
Vi håper du nå har dannet deg et bilde av hvorfor du som bedriftseier sporenstreks bør etablere et compliance-system for din bedrift. Verdien kan være langt større enn du kan forestille deg om noe uforutsett skulle oppstå i din virksomhet:
Vi oppsummerer derfor med følgende punkter:
- Compliance skaper rutiner for effektivitet, god struktur og innsikt til bruk i det daglige arbeidet.
- Compliance sender et tydelig budskap for kultur & integritet: «Slik gjør vi det her!»
- Compliance eliminerer risiko og skaper gevinst på bunnlinjen.
- Compliance gjør deg profesjonell i alle ledd! «Gjennomsiktighet» er et godt virkemiddel for selskapets merkevarebygging og omdømme.
- Compliance skaper tillit blant kunder, leverandører, forretningspartnere og investorer.
Så hva venter du på? Sett i gang med ditt compliance arbeid nå!